'빈(BIN) 공격' 받은 국민카드, 고객 2000여명 카드번호 노출
입력
수정
KB국민카드 고객 2000명의 신용카드 번호가 노출됐다. 이른바 '빈(BIN) 공격'을 받아서다.
3일 카드업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다.국민카드는 이어 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.
빈 공격은 카드 일련번호 16자리 중 처음 여섯 자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 '빈(BIN) 번호'임을 노리고 카드번호를 알아내는 수법이다. 빈 번호는 고정값이기 때문에 여섯 자리를 알면 나머지 열 자리는 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.
이번 빈 공격으로 유출된 카드번호는 2000여건이고 부정사용 금액은 2000여달러다. 부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다.아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 '결제실험'을 하기가 용이하다. 아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다.
이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다. 카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다.
과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.
이송렬 한경닷컴 기자 yisr0203@hankyung.com
3일 카드업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다.국민카드는 이어 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.
빈 공격은 카드 일련번호 16자리 중 처음 여섯 자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 '빈(BIN) 번호'임을 노리고 카드번호를 알아내는 수법이다. 빈 번호는 고정값이기 때문에 여섯 자리를 알면 나머지 열 자리는 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.
이번 빈 공격으로 유출된 카드번호는 2000여건이고 부정사용 금액은 2000여달러다. 부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다.아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 '결제실험'을 하기가 용이하다. 아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다.
이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다. 카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다.
과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.
이송렬 한경닷컴 기자 yisr0203@hankyung.com